【发布时间】:2013-04-24 22:09:44
【问题描述】:
抱歉,如果这似乎是一个愚蠢的问题,但是使用参数如何防御 SQL 注入以及与 T-SQL 相关的最佳实践是什么:
例如:这是最佳做法吗?
SqlCommand SqlCmd = new SqlCommand("SQL Command @X ....... @Y");
SqlCmd.CommandType = CommandType.Text;
SqlCmd.Parameters.AddWithValue("@X", SqlDbType.VarChar).Value = X;
SqlCmd.Parameters.AddWithValue("@Y", SqlDbType.date).Value = Y;
SqlCmd.Connection = ConnectionString;
【问题讨论】:
-
谢谢,但我也对一般的最佳实践感兴趣,因为 cmets 提到了溢出。等等?
标签: c# sql sql-server tsql code-injection